Um sich vor Gefahren aus dem Internet zu schützen, braucht man eine Firewall. Doch wenn diese installiert ist und es passiert nichts, dann ist das mit den Hackern wohl bloß Übertreibung und alles nur rausgeschmissenes Geld. Oder?

Wie die neue unfreiwillige Open Source von Microsoft [1] zeigt, sind Hacker eine ernst zu nehmende Bedrohung. Der Angriff selbst legte jedoch nur die Lücken bloß, die - historisch gewachsen - immer schon da waren und aus Bequemlichkeit oder um den Arbeitsablauf nicht zu stören nicht geschlossen wurden. Dem Autor ist eine Reihe von - nicht so namhaften - Firmen bekannt, denen es durchaus ähnlich ergehen könnte und die bislang nur Glück gehabt oder den Besuch noch nicht bemerkt haben.

Die meisten werden durchschnittlich jeden Tag zweimal angegriffen und mehrmals pro Monat finden sich Viren auf den Rechnern, die Rate schwankt dabei von Kunde zu Kunde. Nach der Installation von Firewalls gibt es dann meist eine Überraschung: Es werden Angriffe gemeldet, die bislang wegen der laxen Einstellung gar nicht angezeigt wurden. In zwei Fällen kam der Angriff von innen, es handelte sich um Trojaner-verseuchte Workstations (der Chefs). Auf Anwendungsebene gibt es immer wieder den Versuch, die Firewall als SMTP-Relay zu missbrauchen.

Der Fall Microsoft: Viele kleine Löcher imSicherheitskonzept

Der Fall Microsoft zeigt jedoch, dass allein der Einsatz von Firewalls für die Internet-Sicherheit noch nicht ausreicht und dass durch die Kombination von mehreren, eigentlich harmlosen Sicherheitsmängeln ein Sicherheitsloch entstehen kann:

Doch was für Lehren sind daraus zu ziehen und was hat das mit unserem Thema zu tun?

Beschränkung der Information: Nicht alle müssen alleswissen

Viele Angriffe auf ein Firmennetz werden langfristig vorbereitet. Es geht dem Gegner zunächst darum, Kenntnisse über den Aufbau und mögliche Schwachstellen des Netzes zu bekommen. Macht man es dabei schon dem Angreifer sehr schwer, verliert er unter Umständen die Lust am Einbruch oder versucht es ein Haus weiter, unser Nachbar möge es uns verzeihen. Für ein LAN mit Verbindung ins Internet heißt das:

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on  ([Internetadresse gelöscht]):
(The 1520 ports scanned but not shown below are in state: filtered)
Port       State       Service
22/tcp     open        ssh
25/tcp     open        smtp
113/tcp    open        auth

TCP Sequence Prediction: Class=random positive increments
                         Difficulty=1580537 (Good luck!)
No OS matches for host (If you know what OS is running on it,
see http://www.insecure.org/cgi-bin/nmap-submit.cgi).

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on [Name gelöscht] ([Internet-Adresse gelöscht]):
(The 1511 ports scanned but not shown below are in state: closed)
Port       State       Service
7/tcp      open        echo
9/tcp      open        discard
13/tcp     open        daytime
17/tcp     open        qotd
19/tcp     open        chargen
21/tcp     filtered    ftp
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
158/tcp    open        pcmail-srv
427/tcp    open        svrloc
5631/tcp   open        pcanywheredata
65301/tcp  open        pcanywhere

TCP Sequence Prediction: Class=trivial time dependency
                         Difficulty=16 (Easy)
Remote operating system guess: Windows NT4 / Win95 / Win98

Nmap run completed  1 IP address (1 host up) scanned in 19 seconds

Um sich vor Gefahren aus dem Internet zu schützen, braucht man eine Firewall. Doch wenn diese installiert ist und es passiert nichts, dann ist das mit den Hackern wohl bloß Übertreibung und alles nur rausgeschmissenes Geld. Oder?